2023 için en önemli siber güvenlik tehditleri
Gelecek yıl, siber suçlular her zamanki gibi meşgul olacak. BT departmanları hazır mı?
2023’e girerken, siber güvenlik hala CIO endişeleri listesinin başında yer alıyor . Hiç şaşırtıcı gelmedi. 2022’nin ilk yarısında dünya çapında 2,8 milyar kötü amaçlı yazılım saldırısı ve 236,1 milyon fidye yazılımı saldırısı gerçekleşti . 2022 yılı sonuna kadar altı milyar kimlik avı saldırısının başlatılması bekleniyor.
IEEE’nin 350 baş teknoloji yetkilisi, bilgi işlem sorumlusu ve BT direktörüyle yaptığı yeni bir ankette , yanıt verenlerin %51’i bulut güvenlik açığından en önemli endişe olarak bahsetti (2022’de bu oran %35’ti) ve %43’ü veri merkezi güvenlik açığından en önemli endişe olarak bahsetti ( 2022’de %27’den yükseldi).
Siber güvenlik uzmanları için diğer endişe alanları şunları içerir:
Fidye yazılımı saldırıları (%30)
Bir kuruluşun ağına koordineli saldırılar (%30)
Güvenlik çözümlerine yatırım eksikliği (%26)
İşte BT’nin 2023’te görmesi muhtemel olan en önemli 10 güvenlik tehdidi.
Gelecek yıl için en önemli 10 güvenlik tehdidi
1. Kötü amaçlı yazılım
Kötü amaçlı yazılım, kesintiye neden olmak amacıyla ağlara ve sistemlere enjekte edilen virüsler ve solucanlar da dahil olmak üzere kötü amaçlı yazılımdır. Kötü amaçlı yazılım gizli bilgileri çıkarabilir, hizmeti reddedebilir ve sistemlere erişim sağlayabilir.
BT departmanları , kötü amaçlı yazılımları ağlara ve sistemlere girmeden önce izlemek ve durdurmak için virüsten koruma yazılımı ve güvenlik duvarları kullanır, ancak kötü niyetli kişiler bu savunmalardan kurtulmak için kötü amaçlı yazılımlarını geliştirmeye devam eder. Bu, güvenlik yazılımı ve güvenlik duvarlarına yönelik güncel güncellemelerin sürdürülmesini zorunlu hale getirir. Ayrıca, Gryphon’un çeşitli tehditleri işleyen Guardian ağ yönlendiricisi gibi kötü amaçlı yazılımları engellemek için donanım çözümleri de vardır .
2. Fidye yazılımı
Fidye yazılımı bir tür kötü amaçlı yazılımdır. Bir sisteme erişimi engeller veya özel bilgileri yayınlamakla tehdit eder. Fidye yazılımı failleri, kurbanlarının şirketlerinin sistemlerin kilidini açması veya bilgi döndürmesi için onlara nakit fidye ödemesini talep ediyor.
2022’de şu ana kadar şirketlere yapılan fidye yazılımı saldırıları, 2021’dekinden %33 daha yüksek . Pek çok şirket, sistemlerini geri almak için fidye ödemeyi kabul ediyor ve aynı fidye yazılımı failleri tarafından tekrar saldırıya uğruyor.
Büyük bir hizmet sağlayıcının siber güvenlik yöneticisi Rob Floretta, ister kötü amaçlı yazılım, casus yazılım dağıtıyor, ister değerli verileri sızdırıyor veya diğer saldırı çeşitlerini dağıtıyor olsun, kötü aktörlerin bir şirketin ağında saklanabileceği konusunda uyardı. Kurumsal sistemlerin “içinde” kalma sürelerini azaltmak çok önemlidir.
“Bekleme süresi, siz onları tespit edene kadar birisinin arazinizde ne kadar süre yaşadığıdır” dedi. “Son yıllarda önemli ölçüde düştü, ancak hala yapılacak işler var.”
Mandiant , harici üçüncü taraflarca tespit edilen ve kurbanlara ifşa edilen izinsiz girişler için küresel medyan bekleme süresinin 2020’de 73 günden 28 güne düştüğünü bildirdi. Bu arada, 2021’de soruşturmaların %55’inde, %67’si ile 30 gün veya daha az bekleme süresi vardı bunların (toplam izinsiz girişlerin %37’si) bir hafta veya daha kısa sürede keşfedilmesi. Ancak rapor ayrıca, tedarik zinciri uzlaşmasının, 2020’de %1’den daha azına kıyasla, 2021’deki izinsiz girişlerin %17’sini oluşturduğunu da gösterdi.
3. Tedarik zinciri güvenlik açıkları
Birkaç devlet kurumuna ulaşan kötü şöhretli SolarWinds saldırısını ve belki de JS.node güvenlik açıklarını içeren daha az bilinen istismarları içeren tedarik zinciri saldırıları , özellikle tehlikelidir çünkü tehdit yüzeyinin boyutu temelde kusurlu yazılımın gittiği her yerdedir.
SolarWinds’in Orion güncellemesi söz konusu olduğunda, bu yüzey Kuzey Amerika, Avrupa, Asya ve Orta Doğu’daki yüzlerce danışmanlık, teknoloji, telekom ve madencilik kuruluşunu içeriyordu.
Şirketlerin atabileceği adımlardan biri, uçtan uca tedarik zincirinin güvenli olduğundan emin olmak için tedarikçilerinin ve satıcılarının kullandığı güvenlik önlemlerini denetlemektir.
In-toto adlı açık kaynaklı güvenlik protokolünü yaratan NYU’da bilgisayar bilimi profesörü olan Justin Cappos, insanların yazılım tedarik zincirlerinde ne olduğunu “bilmek” için genellikle SBOM’a (yazılım malzeme listesi) güvendiklerini açıkladı.
“Bunlar biraz yiyeceklerin üzerindeki beslenme etiketleri gibi,” diye açıkladı. “Bu etiketlerin doğruluğunu onaylayamıyorsanız, bir sorununuz var demektir. In-toto gibi şeylerin devreye girdiği yer burasıdır: Belirli kişilerin ve yalnızca bu kişilerin kodu kontrol etmek veya bağımlılıklarla bir şeyler yapmak gibi meşru eylemlerde bulunduğuna dair esasen imzalı ifadeler veya kanıtlar oluşturursunuz.
4. Kimlik Avı
Yazılım, toplum mühendisliğine karşı savunmak için ancak bu kadarını yapabilir. Hemen hemen herkes şüpheli bir e-posta aldı – veya daha da kötüsü, meşru gibi görünen ve güvenilir bir taraftan gelen ancak olmayan bir e-posta. Bu e-posta hilesi, kimlik avı olarak bilinir.
Kimlik avı, şirketler için büyük bir tehdittir çünkü şüphelenmeyen çalışanların sahte e-postaları açması ve virüsleri serbest bırakması kolaydır. Sahte e-postaları tanıma, bildirme ve asla açmama konusunda çalışan eğitimi gerçekten yardımcı olabilir. BT, sağlam e-posta alışkanlıklarının öğretilmesini sağlamak için İK ile birlikte çalışmalıdır.
Anahtar teslimi bir çözüme yaklaşan bir şey arayan şirketler için eğitim ve paket çözümler sunan birçok satıcı vardır. Teknolojik çözümler de var.
Cappos, şifre yöneticilerinin kritik bir ilk savunma hattı olduğunu söyledi.
“Bir doğrulama kodunu herhangi biriyle paylaşmanız için hiçbir neden yok,” dedi. “Sana kısa mesaj gönderenleri değil, kimlik doğrulama uygulamalarını kullanmalısın.”
Ayrıca, Android ve iPhone’un, iPhone’da kilitleme modu ve açık kaynaklı GrapheneOS for Pixel’deki özellikler gibi iyileştirilmiş koruyucu önlemlere sahip olduğunu belirtti.
5. Nesnelerin İnterneti
2020’de şirketlerin %61’i IoT kullanıyordu ve bu oran artmaya devam ediyor. IoT’nin yaygınlaşmasıyla birlikte, özellikle bağlı cihazlar için fiili iletişim ağı olan 5G telekomünikasyonun ortaya çıkmasıyla birlikte güvenlik riskleri de artıyor.
IoT tedarikçileri, cihazlarında çok az güvenlik uygulamakla veya hiç uygulamamakla ünlüdür; bu tehdit, güvenlik için RFP sürecinde önceden IoT satıcılarının daha güçlü bir şekilde incelenmesi ve kurumsal standartlara uymaları için cihazlardaki IoT güvenlik varsayılanlarının sıfırlanması yoluyla iyileştirilebilecek bir tehdittir.
Floretta, “IoT cihazları genellikle tahmin edilmesi kolay kimlik bilgileri içerir veya varsayılan parolaları internette kolayca bulunabilir” dedi. “Kurulumdan sonra parolaları değiştirmek gibi basit siber güvenlik en iyi uygulamalarını takip etmek, kötü niyetli kişiler tarafından tehlikeye atılmayı çok daha zorlaştıracaktır.”
Kuruluşunuz IoT güvenliği hakkında daha fazla rehberlik arıyorsa TechRepublic Premium uzmanları, BT liderleri için nelere dikkat edilmesi gerektiği ve tehditlerle başa çıkma stratejileriyle dolu bir e-kitap hazırladı.
6. Dahili çalışanlar
Canı sıkılan çalışanlar ağları sabote edebilir veya fikri mülkiyet ve özel bilgilerle kaçabilir ve zayıf güvenlik alışkanlıklarına sahip çalışanlar yanlışlıkla parolaları paylaşabilir ve ekipmanı korumasız bırakabilir. Bu nedenle, çalışan güvenlik politikalarının ve prosedürlerinin ne kadar iyi çalıştığını kontrol etmek için sosyal mühendislik denetimlerini kullanan şirketlerin sayısında bir artış olmuştur.
2023’te, BT’nin iş gücü güvenlik politikalarının ve uygulamalarının sağlamlığını kontrol edebilmesi için sosyal mühendislik denetimleri kullanılmaya devam edecek.
7. Veri zehirlenmesi
Bir IBM 2022 araştırması, şirketlerin %35’inin işlerinde yapay zekayı kullandığını ve %42’sinin onu keşfettiğini ortaya çıkardı . Yapay zeka, her sektördeki şirketler için yeni olanaklar açacak. Ne yazık ki kötü oyuncular da bunu biliyor.
AI sistemlerinde veri zehirlenmesinin yükselişte olduğunun kanıtı için Log4J Log4Shell hatasından başka bir yere bakmaya gerek yok . Bir veri zehirlenmesinde, kötü niyetli bir aktör, bir AI sorgulamasının sonuçlarını çarpıtacak ve potansiyel olarak şirket karar vericilerine yanlış olan bir AI sonucu döndürecek bozuk verileri bir AI sistemine enjekte etmenin bir yolunu bulur.
Veri zehirlenmesi, kurumsal sistemlere yönelik yeni bir saldırı vektörüdür. Buna karşı korunmanın bir yolu, AI sonuçlarınızı sürekli olarak izlemektir. Aniden geçmişte ortaya koyduğundan önemli ölçüde uzaklaşan bir sistem görürseniz, verilerin bütünlüğüne bakmanın zamanı gelmiştir.
8. Yeni teknoloji
Kuruluşlar biyometri gibi yeni teknolojileri benimsiyor. Bu teknolojiler çok büyük faydalar sağlar, ancak BT’nin bunlarla sınırlı deneyimi olduğundan yeni güvenlik riskleri de getirir. BT’nin atabileceği adımlardan biri, bir satın alma sözleşmesi imzalamadan önce her yeni teknolojiyi ve satıcılarını dikkatle incelemektir.
Floretta, “Biyometri bir dizi teknolojiyi kapsıyor: Ses, retina taraması ve hatta davranış olabilir” dedi.
Parolaların aksine, bazı biyometrilerin değişmez olması büyük bir avantajdır.
Bağlamsal kimlik doğrulama (veya uyarlamalı kimlik doğrulama), davranışa dayalı bir kimlik doğrulamadır ve özü şu şekildedir: “Davranışlarınıza dayanarak kim olduğunuzu bildiğimden oldukça eminim, ancak sizin için normal olmayan bir şey görüyorsam, rol yapmak, hareket etmek.”
9. Çok katmanlı güvenlik
Ne kadar güvenlik yeterlidir? Ağınızı güvenlik duvarı ile donattıysanız, güvenlik izleme ve müdahale yazılımı yüklediyseniz, sunucularınızın güvenliğini sağladıysanız, çalışanlara çok faktörlü kimlikle oturum açtıysanız ve veri şifreleme uyguladıysanız, ancak sunucuları içeren fiziksel tesisleri kilitlemeyi veya en son güvenlik güncellemelerini yüklemeyi unuttuysanız akıllı telefonlarda , kapsandınız mı?
BT’nin azaltması ve izlemesi gereken birçok güvenlik katmanı vardır. BT, bir iş akışındaki her güvenlik ihlali noktası için bir kontrol listesi oluşturarak güvenliği sıkılaştırabilir.
TAGCyber CEO’su ve AT&T’nin eski CISO’su Ed Amoroso, “Birden fazla savunma seviyesi kritik öneme sahiptir” dedi. “Parolalar kritik bir katmandır, ancak her iki uçta da veri şifreleme bir sonraki aşamadır ve bu böyle devam eder. Sonuç olarak: Katılmış olman sana güvendiğim anlamına gelmez. Açıkçası, birden çok güvenlik katmanının önündeki tek engel sadece maliyet.”
10. Bulut güvenliği
Evet, Seattle’lı bir bilgisayar korsanının 2019’da gerçekleştirdiği veri ihlali, yaklaşık 100 milyon kredi uygulamasının çalınmasına neden oldu, ancak bulutta yanlış yapılandırılmış bir AWS depolama paketinin çalınması başka bir şeye yol açtı: şirket için düzenleyici baş ağrıları.
Konteynerlerin düzenleyici gözetiminden kaynaklanan olası para cezaları, paradoksal bir şekilde, uzmanların 2023 için işaret ettiği en büyük siber zorluklardan biridir. Kurumsal itibar ve cüzdan söz konusu olduğunda, geri tepme, zorla girme kadar kötü olabilir.
Yukarıdaki davada, bir federal mahkeme Capital One’ı finansal verileri güvence altına almadığı için ihmalkar buldu. Bu, 80 milyon dolarlık bir para cezası ve ayrıca 190 milyon dolarlık müşteri davalarıyla geldi.
Hyperproof saha CISO’su ve IEEE’nin kıdemli bir üyesi olan Kayne Mcgladrey, “Yapılandırma yönetimini yapmayan ve uymaları gereken yasal uyumluluklarını takip etmeyen şirketler için risk var” dedi.
Modern siber güvenlik ve ilgili düzenleyici çerçevelerin, bekleyen ve aktarılan veri şifrelemesini gerektirdiğini açıkladı.
“Şirketler şifreliyorsa, kolay bir gün ve sorun yok” dedi. “B-to-B satın alma anlaşmaları gibi satıcı müzakerelerinde görmeye başladığım asıl risk, şirketlerin [tedarikçinin] tüm bulut depolamalarının şifrelemesini izlediğine dair bir onay istemesidir. Şirketler birbirlerine soruyor: Bulut depolamanızın şifreli olduğunu doğrulayabilir misiniz ve düzenli olarak kontrol ediyor musunuz?
Teknoloji açısından bunu yapmak oldukça kolay, ancak Mcgladrey’in de belirttiği gibi, bir kuruluşta AWS, Microsoft Azure veya Google Cloud gibi bulut bilgi işlem platformlarında izinleri olan herkes bir depolama kovasını kaldırabilir. Bulutta bir depolama konumu oluşturabilirler, ancak bunları şifrelemeleri gerekmez.
Kaynak:
https://www.techrepublic.com/article/top-cybersecurity-threats/